SIMPLE-QUALITY
SIMPLE-QUALITY

Quality - Keep it simple...!!

Cyber-Attacken - IATF

Beitrag 04.12.2020, 12:02 Uhr
ATEU
Level 1 = Community-Lehrling
*
Hallo,
eine der letzten SIs in Bezug auf IATF definiert die Anforderungen an den Notfallplan insbesondere hinsichtlich möglicher Cyber-Attacken genauer. Hier werden konkret auch Tests der Cyber-Sicherheit gefordert. Inklusive Nachweisen dazu.

Hat irgend jemand eine Art Checkliste für diese Tests? D.h., was muß wie getestet werden? Möchte vermeiden, daß wir einen Test durchführen / durchführen lassen und nachher fehlt etwas in der Dokumentation, weil wir es nicht besser gewußt haben.

Danke vorab!
   
Beitrag 07.12.2020, 14:29 Uhr
MTXDOM
Level 1 = Community-Lehrling
*
Hallo,
um den Punkt der Norm effektiv zu erfüllen hat unser Unternehmen über die Konzernzentrale durch einen externen IT Dienstleister einen sg. Pentest durchführen lassen.
Unsere interne EDV/IT Abt. ist Präventiv sehr aktiv auf diesem Gebiet, aber dass Ergebnis des Pentest war von ernüchternder Bilanz. Um die aufgezeigten Defizite und Potentiale für mögliche Hackerangriffe abzusichern wurde/musste anschl. ein fast 6-stelliger € Betrag investiert werden.
Zudem wollten man bei uns im IATF Audit den Nachweis sehen, dass unsere Mitarbeiter regelmäßig (min. 1x /Auditperiode) über Verhaltensregeln und Vorsichtsmaßnahmen zu Online-Aktivitäten geschult/unterwiesen werden. Die Notfallplanung sollte auch eine Risikobewertung (realistisch) enthalten, bei uns in Form des Ampelsystems. Wir hatten die Risikobewertung bereits vor dem Pentest auf "rot" gesetzt - u.a. auch weil wir einen Standort in China haben und Kunden in Asien. Das Ergebnis der Risikobewertung sollte in die Managementbewertung integriert werden.

Gruß Bernd
   
Beitrag 08.12.2020, 11:16 Uhr
Sonntag
Level 7 = Community-Professor
*******
Guten Tag ATEU,

auf der Internetseite vom VDA
https://vda.de/de/services/Publikationen/vd...ersion-5.0.html
können Sie den VDA ISA Fragenkatalog herunterladen. Dieser Fragenkatalog beinhaltet u. a. Fragen und Stichworte, die auch für Ihr Thema Cybersicherheit hilfreich sein können.


--------------------
Mit freundlichen Grüßen
aus dem Naheland
Sonntag
   
Beitrag 20.12.2021, 13:27 Uhr
Maximilian84
Level 2 = Community-Facharbeiter
**
Hallo zusammen,

ich wollte das Thema nochmal neu aufgreifen. Auch gerade in Hinblick auf die Wirksamkeitsprüfung der eingeführten Maßnahmen.

Nehmen wir das Beispiel von oben. Es wurde ein Test gemacht und dabei wurde offensichtlich festgestellt, dass das System sehr durchlässig ist. Nun hat man 100k investiert und jetzt? Nochmal testen? und wenn ja wie oft? Jedes Jahr so ein Test ist ja ein kostspieliges Unterfangen, das mir kein Kunde bezahlt.

Bei uns ist die IT ein externer Dienstleister. Wie geht man damit um? Kann/muss er das absichern? Bei ursprünglichem Vertragsabschluss war von TS oder IATF nichts zu sehen. Somit ist das vermutlich schwierig einzufordern.

Wie macht ihr das in der Praxis?

Gruß Max
   
Beitrag 23.02.2022, 15:46 Uhr
Sonntag
Level 7 = Community-Professor
*******
Guten Tag,
es müssen nicht immer große Hard- und Softwareinvestitionen getätigt werden.
Zur Verbesserung des Testergebnisses können mit kleinem Geld verpflichtende Onlineschulungen für alle Beschäftigten mit Mailadresse durchgeführt werden. Die Schulungen schließen mit einer Lernerfolgskontrolle ab mit der Möglichkeit, die Onlineschulung zu widerholen.
Mit dieser relativ einfach durchzuführenden Sensibilisierung sollte beim nächsten Test ein deutlich besseres Ergebnis erreicht werden können


--------------------
Mit freundlichen Grüßen
aus dem Naheland
Sonntag
   
1 Besucher lesen dieses Thema (Gäste: 1)
0 Mitglieder: